Truffa del Copyright: gli hacker usano minacce legali per scatenare il furtivo PureLog Stealer
Sottotitolo: I cybercriminali camuffano malware per il furto di credenziali da avvisi di violazione del copyright, prendendo di mira settori critici con tecniche fileless ed evasive.
L’email arriva nella casella di posta: un avviso severo che pretende un’azione immediata per una presunta violazione del copyright. Ma per il destinatario ignaro, la vera violazione sta per cominciare. Dietro questa facciata legale si nasconde un sofisticato attacco informatico: una campagna malware multi‑stadio che distribuisce l’elusivo PureLog Stealer. Non è il solito schema di phishing, ma un colpo di precisione pensato per saccheggiare credenziali sensibili dalle organizzazioni più vitali del mondo.
L’anatomia di un raggiro legale
Questa campagna inizia con un’esca convincente: un’email di phishing o un download malevolo, talvolta veicolato tramite annunci ingannevoli su Google. L’amo è un “documento legale” che avverte il destinatario di una violazione del copyright-localizzato per combaciare con la regione della vittima. Quando viene aperto, compare un PDF dall’aspetto innocuo, ma sullo sfondo si mette in moto la vera operazione. Il malware scarica silenziosamente un file cifrato, mascherato con estensione .pdf, da server controllati dagli attaccanti.
A differenza dei dropper tradizionali che incorporano chiavi di decifratura statiche, questa operazione recupera al volo password dinamiche da infrastrutture remote. Questa tattica non solo ostacola l’analisi automatizzata di sicurezza, ma consente anche agli attaccanti di adattare i payload a ciascuna vittima, massimizzando furtività e persistenza.
Intrusione fileless: il manuale della furtività del malware
Una volta dentro, il malware sfrutta utility rinominate-come un eseguibile WinRAR camuffato da immagine PNG-per estrarre lo stadio successivo. Il loader principale, uno script Python che si spaccia per “instructions.pdf”, disabilita le difese antivirus di Windows patchando routine in memoria, quindi stabilisce la persistenza modificando il registro di sistema.
Prima di esfiltrare i dati, il malware cattura uno screenshot completo del desktop della vittima e crea un’impronta della macchina, catalogando dettagli del sistema e i prodotti di sicurezza installati. Tutte queste informazioni vengono inviate agli attaccanti tramite canali HTTPS cifrati.
PureLog Stealer: la raccolta fileless
L’atto finale coinvolge due loader residenti in memoria che decifrano e avviano PureLog Stealer direttamente in memoria-senza mai toccare il disco e, quindi, eludendo la maggior parte dei sistemi di rilevamento sugli endpoint. Questo stealer è specializzato nel sottrarre credenziali dei browser, wallet crypto e altri dati sensibili, con un focus su organizzazioni di alto valore in diversi Paesi occidentali.
La telemetria di sicurezza mostra che si tratta di una campagna altamente mirata, non indiscriminata. La sua accurata localizzazione e le tattiche di evasione suggeriscono un attore della minaccia dotato sia di risorse sia di pazienza-disposto a fondere intimidazione legale e ingegnosità tecnica.
Conclusione: quando le minacce legali mascherano il furto digitale
La campagna PureLog Stealer è un monito inquietante: i cybercriminali sono abili nella manipolazione psicologica quanto nella sovversione tecnica. Mentre gli avvisi di violazione del copyright diventano i nuovi lupi travestiti da agnelli, le organizzazioni devono affinare sia le difese tecniche sia la vigilanza contro il social engineering. Il prossimo “avviso legale urgente” potrebbe essere la salva d’apertura di una violazione ben più pericolosa.
WIKICROOK
- Esecuzione fileless: L’esecuzione fileless è un metodo di attacco informatico in cui il malware opera in memoria usando strumenti di sistema fidati, rendendo difficile il rilevamento da parte dei tradizionali antivirus.
- Dropper: Un dropper è un tipo di malware che installa di nascosto ulteriori programmi malevoli su un dispositivo infetto, aiutando gli attaccanti ad aggirare le misure di sicurezza.
- Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.
- Interfaccia di scansione antimalware (AMSI): AMSI è un’interfaccia Microsoft che consente agli strumenti di sicurezza di analizzare script e memoria alla ricerca di malware, migliorando il rilevamento delle minacce negli ambienti Windows.
- Server di Command and Control (C2): Un server di Command and Control (C2) gestisce da remoto i dispositivi infettati da malware, inviando istruzioni e ricevendo i dati rubati dai sistemi compromessi.




